支払い処理を Braintree に依存している場合、PCI に準拠したまま保存できるクレジット カード情報は何ですか?
私が尋ねている理由は、単純な最適化として、顧客がすでにクレジット カードで私の店から何かを購入している場合、クレジット カードの下 4 桁とカードの種類を示すことができるためです。 BrainTree への API 呼び出し。彼らがカードを変更したり購入したりしたい場合は、電話をかけなければなりませんが、その1ページについては電話しません.
質問は、次のものを保管することは許可されていますか?
または、チェックアウトできる PCI コンプライアンスの「すべきこととすべきでないこと」のリストはどこにありますか?
ええ、それらを保管するのは問題ありません。
すべきこととすべきでないことの概要については、PCI クイック リファレンス ガイドを参照してください。
すでに述べたように、そのデータを保存しても問題ありません。
「すべきこととすべきでないこと」については、Open Web Application Security Project (owasp.org) を調べてみる価値があります。特に、安全な Web アプリケーションの開発方法については、OWASP ガイド ( http://prdownloads.sourceforge.net/owasp/OWASPGuide2.0.1.pdf?downloadから入手可能) を参照してください。53 ページから始まる PCI コンプライアンスとベスト プラクティスについて説明します。
attr_encrypted gem のようなものを使用して、データベース内のデータを保護します ( https://github.com/shuber/attr_encryptedを参照)。